◎張巖（汽車控制軟件工程師）

車聯(lián)網(wǎng)時(shí)代 防止黑客把汽車變成大殺器一次震驚汽車界的黑客“挾持”

◎張巖（汽車控制軟件工程師）

測(cè)試中，被“黑”的吉普自由光“自作主張”地駛?cè)肼愤厹现?，完全無(wú)視駕駛員的操作。

7月24日，美國(guó)三大汽車制造商之一的菲亞特-克萊斯勒宣布，在美國(guó)召回旗下吉普（Jeep）品牌越野車140萬(wàn)輛，原因是這些車配備的“Uconnect”多媒體系統(tǒng)，存在被黑客攻擊的安全隱患。這次的大規(guī)模召回，把汽車在互聯(lián)網(wǎng)時(shí)代的信息安全問(wèn)題暴露在公眾面前，引起了輿論的廣泛關(guān)注。“車聯(lián)網(wǎng)”的安全應(yīng)該如何應(yīng)對(duì)？

每輛車都有局域網(wǎng)

隨著技術(shù)的進(jìn)步，當(dāng)代汽車的控制已經(jīng)從機(jī)械化走向了電子化。比如發(fā)動(dòng)機(jī)的點(diǎn)火線圈何時(shí)點(diǎn)火，噴油嘴每次精確噴多少油，都由車載發(fā)動(dòng)機(jī)控制單元進(jìn)行精確的控制。很難想象如果離開(kāi)了現(xiàn)代電子技術(shù)和信息技術(shù)，當(dāng)代的汽車該如何控制，歐Ⅴ、歐Ⅵ等嚴(yán)苛的尾氣排放標(biāo)準(zhǔn)也根本無(wú)從談起。

汽車的基本電控裝置叫做電子控制單元（ECU），每一輛車都搭載數(shù)十個(gè)ECU，大到發(fā)動(dòng)機(jī)、變速箱，小到空調(diào)、車燈等，都擁有單獨(dú)的ECU來(lái)控制。一個(gè)典型ECU的組成和家用電腦類似，包括一個(gè)處理器（CPU）、內(nèi)存（RAM）、存儲(chǔ)器（相當(dāng)于電腦硬盤）、傳感器（相當(dāng)于鼠標(biāo)和鍵盤）和執(zhí)行器（相當(dāng)于顯示器和揚(yáng)聲器）。而汽車作為一個(gè)整體，這些分散在車身各處的ECU必須要相互溝通，時(shí)刻交換控制指令才能協(xié)同整車的正常運(yùn)轉(zhuǎn)。比方說(shuō)，變速箱的ECU需要知道當(dāng)前車速（數(shù)據(jù)來(lái)自底盤ECU）和發(fā)動(dòng)機(jī)轉(zhuǎn)速（數(shù)據(jù)來(lái)自發(fā)動(dòng)機(jī)ECU），才能更有效地執(zhí)行換擋策略。汽車的控制器局域網(wǎng)（CAN）總線就相當(dāng)于電腦的網(wǎng)線，也就好比汽車的神經(jīng)系統(tǒng)，攻破了它，就能控制汽車的一切。問(wèn)題是，汽車這種局域網(wǎng)無(wú)論設(shè)計(jì)還是應(yīng)用，都基本沒(méi)考慮信息安全的事兒。

聽(tīng)起來(lái)很可怕，不過(guò)目前大部分車型的CAN總線網(wǎng)絡(luò)在物理上是與外界隔絕的，因此在網(wǎng)絡(luò)安全上并不會(huì)出什么實(shí)質(zhì)性問(wèn)題。除非破壞汽車的物理防盜裝置，比如撬開(kāi)車門在車載診斷系統(tǒng)（OBD）接口安裝黑客硬件。但從黑客角度來(lái)說(shuō)，這種溜門撬鎖侵入車輛控制系統(tǒng)的方式太“Low”（低端），很少有人這么干。

聯(lián)網(wǎng)模塊有隱憂

位于汽車方向盤下方的OBD接口，可以直接接入汽車CAN總線網(wǎng)絡(luò)，這本來(lái)是汽車廠商或者4S店用來(lái)獲取汽車信息和故障代碼的裝置。值得注意的是，現(xiàn)在很流行的第三方“OBD盒子”類產(chǎn)品，賦予OBD接口更豐富的功能和應(yīng)用，它通常配有Wi-Fi、藍(lán)牙等無(wú)線通信模塊，使得車況、行駛數(shù)據(jù)等信息都可以與智能手機(jī)互聯(lián)。這就相當(dāng)于給本來(lái)封閉的汽車CAN總線局域網(wǎng)，打開(kāi)了一扇對(duì)外的窗口，給車主帶來(lái)便利的同時(shí)，也為黑客入侵或者其他網(wǎng)絡(luò)安全隱患打開(kāi)了通道。

本來(lái)汽車的車載多媒體和中控系統(tǒng)，是為了豐富娛樂(lè)功能并優(yōu)化操作體驗(yàn)，這部分系統(tǒng)和CAN總線不相連，黑客即便從這里入侵，能做的也不外是插播一下他自己的音樂(lè)嚇唬嚇唬車主而已，安全隱患并不大。

然而，一次黑客的破解讓人們感到后怕。

黑客攻陷吉普車的突破口——V850芯片

信息安全研究員查理·米勒（左）和克里斯·瓦拉塞克（右），正在遠(yuǎn)程控制被他們“劫持”的汽車。

黑客遙控讓汽車開(kāi)進(jìn)溝里

在優(yōu)步（Uber）公司就職的美國(guó)信息安全研究員查理·米勒和克里斯·瓦拉塞克，在今年7月一次黑客大會(huì)上報(bào)告稱，他們遠(yuǎn)程破解了克萊斯勒旗下的2014款吉普切諾基（Cherokee，國(guó)內(nèi)稱為“自由光”）的多媒體系統(tǒng)。根據(jù)他們的報(bào)告，筆者在這里大致描述一下他們破解的方法：

這款車使用了美國(guó)通信運(yùn)營(yíng)商“Sprint”的3G網(wǎng)絡(luò)服務(wù)，主要為車載多媒體系統(tǒng)提供即時(shí)數(shù)字廣播和天氣信息。米勒和瓦拉塞克通過(guò)微型基站設(shè)備模仿Sprint的信號(hào)，騙過(guò)汽車從而入侵了自由光的車載多媒體系統(tǒng)“Uconnect”。他們可以控制音樂(lè)播放、車載導(dǎo)航和空調(diào)。“Uconnect”不和CAN總線直接相連，但卻跟連接著CAN總線的V850芯片相連。原則上，V850對(duì)CAN總線的信息只能接收，而不能向其發(fā)送任何指令——克萊斯勒在設(shè)計(jì)上還是很小心的。然而兩位安全研究人員通過(guò)被控制的“Uconnect”，給V850刷新了他們自己開(kāi)發(fā)的固件，借此使V850具備了給CAN總線發(fā)送信息和命令的能力。大功告成！車輛的位置和行車數(shù)據(jù)等信息盡收眼底?，F(xiàn)在他們只要在屋里抱著一臺(tái)電腦，就可以隨心所欲地控制車輛的音響、空調(diào)、雨刮器、防盜鎖，甚至能進(jìn)行加減速、轉(zhuǎn)向和熄火等駕駛層面的操作。這個(gè)過(guò)程與用假基站操控用戶手機(jī)的入侵方式類似。

電子控制單元（ECU）是汽車最基本的電控裝置

具有聯(lián)網(wǎng)功能的車載多媒體系統(tǒng)給黑客遠(yuǎn)程劫持汽車提供了可乘之機(jī)

被黑客用來(lái)攻入車載多媒體系統(tǒng)的“Sprint Airave 2.0 Femtocell”，其實(shí)是一種微型移動(dòng)基站，是運(yùn)營(yíng)商用來(lái)增強(qiáng)室內(nèi)信號(hào)而開(kāi)發(fā)的，在大型網(wǎng)購(gòu)平臺(tái)就能買到。

美國(guó)《連線》雜志記者安迪·格林伯格作為體驗(yàn)者，負(fù)責(zé)駕駛這輛被“劫持”的自由光汽車。兩位“黑客”先是把空調(diào)風(fēng)量和制冷力度調(diào)到最大，給體驗(yàn)者吹了一通寒風(fēng)，接著把電臺(tái)調(diào)到流行音樂(lè)頻道，用最大音量轟炸體驗(yàn)者的耳朵，之后又啟動(dòng)雨刮器并噴上清洗劑模糊了前方視野，還不時(shí)竄改一下中控屏幕的顯示內(nèi)容以示“戲弄”。過(guò)了一會(huì)兒，他們遠(yuǎn)程切斷了變速箱的動(dòng)力傳遞，發(fā)動(dòng)機(jī)瞬間空轉(zhuǎn)，正行駛在高速路上的車子進(jìn)入危險(xiǎn)的空擋滑行狀態(tài)。最后，在一條車流較少的鄉(xiāng)間道路上，這輛被劫持的越野車完全不受駕駛員控制，在“黑客”的擺弄下一頭扎進(jìn)路邊的溝中。

這次破解是史上首次通過(guò)遠(yuǎn)程無(wú)線（3G網(wǎng)絡(luò)）方式，對(duì)未破壞物理防盜裝置（沒(méi)有撬鎖也沒(méi)有裝OBD盒子等設(shè)備）的汽車，侵入到CAN總線從而完全控制車輛，具有劃時(shí)代的意義。當(dāng)然，曾就職于美國(guó)國(guó)家安全局（NSA）的米勒此舉并非為了牟利或者傷害別人，而是給汽車公司一個(gè)善意提醒：看，你們的車多么容易被黑！

8月19日，美國(guó)一家法律咨詢公司“PT & C”總結(jié)了最容易被“黑”的幾款車，和2014款吉普自由光一起“中槍”的，還有2014款英菲尼迪Q50、2015款凱迪拉克凱雷德、2014/2010款豐田普銳斯、2014款福特蒙迪歐。盡管每款車可被攻擊的部件不同，但安全漏洞都來(lái)自它們的多媒體系統(tǒng)。相反，同為2014款的道奇蝰蛇、奧迪A8和本田雅閣，都因搭載的計(jì)算機(jī)模塊和聯(lián)網(wǎng)部件極少，而被評(píng)為最不容易被“黑”的車型（編者注：這里提到的車型均為在美銷售版本）。

車聯(lián)網(wǎng)時(shí)代被“黑”可釀大禍

目前汽車在自動(dòng)駕駛和車聯(lián)網(wǎng)方向的發(fā)展，正如火如荼。不僅汽車制造商和供應(yīng)商，連蘋果、谷歌等互聯(lián)網(wǎng)巨頭以及政府、高校也紛紛加入這股浪潮。自動(dòng)駕駛和車聯(lián)網(wǎng)的前景十分誘人，但由此帶來(lái)的信息安全問(wèn)題也要警惕。

筆者腦洞大開(kāi)，構(gòu)思出全民車聯(lián)網(wǎng)的3個(gè)場(chǎng)景：

第一，道路上所有車與車之間都會(huì)共享速度和位置信息。在結(jié)合了自動(dòng)駕駛功能之后，汽車根據(jù)共享的信息采取緊急避險(xiǎn)的行為也是肯定會(huì)有的。如果居心不良的黑客利用這個(gè)特點(diǎn)，在十字路口發(fā)出假信號(hào)偽裝成一輛高速駛來(lái)的失控大貨車，那么路口其他擁有自動(dòng)駕駛功能的汽車，在收到信號(hào)之后都有可能采取急剎和避讓措施，這就能引起嚴(yán)重的交通混亂甚至惡性事故。

第二，自動(dòng)駕駛的汽車從基站接收前方實(shí)時(shí)路況信息，隨時(shí)調(diào)整行車路線以避開(kāi)擁堵。那么黑客可以設(shè)置假基站，通過(guò)偽裝的信號(hào)，既可以引導(dǎo)大量汽車涌入同一路段造成嚴(yán)重?fù)矶?，也可以引?dǎo)某一輛車駛?cè)胩囟ǖ攸c(diǎn)，從而實(shí)施劫持等犯罪計(jì)劃。

第三，凡是擁有車聯(lián)網(wǎng)和自動(dòng)駕駛的車輛，必定如同智能手機(jī)一樣帶有定位系統(tǒng)。那么很顯然，如果被黑了，這輛車的實(shí)時(shí)位置和日?；顒?dòng)地點(diǎn)等隱私信息都可能泄露。推銷員、慣偷、詐騙犯、乃至以抓“小三”為重要業(yè)務(wù)的私家偵探，再也不用大費(fèi)周章地搞跟蹤調(diào)查了，直接打開(kāi)電腦黑進(jìn)去，目標(biāo)車主的行蹤盡在掌握中！

面對(duì)車聯(lián)網(wǎng)時(shí)代層出不窮的信息安全問(wèn)題，我們?cè)撛趺崔k呢？

筆者認(rèn)為，政府、行業(yè)協(xié)會(huì)和產(chǎn)業(yè)聯(lián)盟在制定車聯(lián)網(wǎng)標(biāo)準(zhǔn)和協(xié)議的時(shí)候，應(yīng)該把信息安全問(wèn)題擺在一個(gè)很高的位置，從技術(shù)層面打下良好的基礎(chǔ)；車企對(duì)于車聯(lián)網(wǎng)和自動(dòng)駕駛的研發(fā)和應(yīng)用，應(yīng)該專門抽出一部分精力研究信息安全，可以多和互聯(lián)網(wǎng)公司合作，后者這方面的經(jīng)驗(yàn)教訓(xùn)要比車企豐富得多；政府對(duì)車聯(lián)網(wǎng)安全的立法和執(zhí)法要足夠重視，對(duì)危害社會(huì)、造成公眾隱私泄露和生命財(cái)產(chǎn)損失的黑客行為，要保持高壓打擊，形成有力的制度后盾；最后，作為消費(fèi)者自身也要注意，避免分享不必要的信息，對(duì)可疑的軟、硬件應(yīng)有足夠的警惕。

未來(lái)車聯(lián)網(wǎng)體系中，車-車互聯(lián)和車-基站互聯(lián)示意圖。